WEB应用安全防护系统建设方案Word格式.docx
《WEB应用安全防护系统建设方案Word格式.docx》由会员分享,可在线阅读,更多相关《WEB应用安全防护系统建设方案Word格式.docx(24页珍藏版)》请在冰豆网上搜索。
目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;
通过状态防火墙保证内部网络不会被外部网络非法接入。
所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。
IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。
但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
SQL注入——构造SQL代码让服务器执行,获取敏感数据
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
Cookie假冒——精心修改cookie数据进行用户假冒
学校WEB应用安全防护具体需求分析
学校对WEB应用安全防护非常重视,在内网部署有高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:
通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,作为整体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。
对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。
通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题:
跨站脚本攻击
跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。
SQL注入攻击
由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据,造成用户资料的丢失、泄露和服务器权限的丢失。
缓冲区溢出攻击
由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,获得系统管理员权限。
CC攻击
CC攻击目前是最新出现针对Web系统的特殊攻击方式,通过构造特殊的攻击报文,以到达消耗应用平台的服务器计算资源为目的(其中以消耗CPU资源最为常见),最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给学校形象造成不可估量的损失。
拒绝服务攻击
通过DOS攻击请求,以到达消耗应用平台的网络资源为目的,最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给政府形象造成不可估量的损失。
Cookies/Seesion劫持
Cookies/Seesion通常用户用户身份认证,别且可能携带用户敏感的登录信息。
攻击者可能被修改Cookies/Seesion提高访问权限,或者伪装他人的身份登录。
1.3网络安全防护策略
1.3.1“长鞭效应(bullwhipeffect)”
网络安全的防护同管理学的“长鞭效应(bullwhipeffect)”具有相似的特性,就是要注重防患于未然。
因此,针对我们单位的特点,更要注重主动防护,在安全事件发生之前进行防范,减少网络安全事件发生的机会,达到:
“少发生、不发生”的目标。
1.3.2网络安全的“防、切、控(DCC)”原则
基于“长鞭效应”,我们的网络安全防护要从源头做起,采用“防、切、控(DCC)”的原则:
防:
主动防护,防护我们的服务器受到攻击者的主动攻击
外部敌对、利益驱动的攻击者,会对我们的网站、mail服务器进行各种主动攻击。
而这些主动攻击往往带有非常强的目的性和针对性,因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题,主要有:
防止Web服务器受到来自外部的攻击、非法控制、篡改;
防止主、备mail服务器受到攻击、非法控制。
切:
切断来自外部危险网站的木马、病毒传播:
在网络中部分的Web服务器已经被黑客控制的情况下,Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行,防止服务器被黑客继续渗透。
因此,如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。
控:
控制无意识的信息泄露:
对于第三个要解决的问题是防止内部人员无意识的内部信息泄露,要保证接入网络的机器、设备是具有一定的安全防护标准,防止不符合要求的机器和设备接入网络,严格控制潜在的安全风险。
二、解决方案
2.
3.
2.1Web应用防护系统解决方案
Web应用安全防护系统可以为学校Web服务器提供全方位的服务,主要保护功能包括以下几方面:
2.1.1黑客攻击防护
Web应用防护系统对黑客攻击防护功能,主要阻止常见的Web攻击行为,包括以下方面:
黑客已留后门发现,黑客控制行为阻止
SQL注入攻击(包括URL、POST、Cookie等方式的注入)
XSS攻击
Web常规攻击(包括远程包含、数据截断、远程数据写入等)
命令执行(执行Windows、Linux、Unix关键系统命令)
缓冲区溢出攻击
恶意代码
解决办法:
通过在Web服务器的前端部署Web应用防护系统,可以有效过滤Web攻击。
同时,正常的访问流量可以顺利通过。
Web应用防护系统,通过内置可升级、扩展的策略,可以有效的防止、控制Web攻击发生。
方案价值:
通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击,保障Web服务器的安全,降低资料被窃取、网站被篡改事件的发生。
2.1.2违反策略防护
Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面:
非法HTTP协议
URL-ACL匹配
盗链行为
2.1.2BOT防护
Web应用防护系统对互联网的应用访问控制主要包括以下几个方面:
爬虫蜘蛛行为
Web漏洞扫描器行为
2.1.3应用层洪水CC攻击及DDOS防御
Web应用防护系统的互联网应用流量控制主要包括以下几个方面:
1.UDPFlood
2.ICMPFlood
3.SYNFlood
4.ACKFlood
5.RSTFlood
6.CC攻击
7.DDOS攻击
Web应用防护系统全方位的封堵,节省带宽资源利用率,保证组织的业务相关应用得到极以流畅的进行。
2.1.4网页防篡改
本设备的网页防篡改功能,对网站数据进行监控,发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护,恢复数据并进行告警,同时记录防篡改日志。
支持的操作系统:
Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系统。
、
2.1.5自定义规则及白名单
自定义规则
设备不仅具有完善的内置规则,并且还支持用户根据自身需要自行定义规划,支持自符串快速查找与PCRE正则查找。
白名单
根据需要设定某些网站、URL针对防护设备直接放行。
2.1.6关键字过滤
本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。
2.1.7日志功能
Web应用防护系统不但提供强大的防护功能,且提供了十分详细的日志和报表功能,能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。
入侵报警日志
系统提供详细的安全防护日志:
包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。
日志查询
设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。
支持日志的导出及按时间进行日志自动的清理。
审计日志
对设备每次操作进行详细的记录
系统日志
可以记录设备的运行状况
2.1.8统计功能
网络入侵统计
该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况,以便快速掌握不同时期遭受网络攻击状况,判断网络攻击变化趋势。
网络流量统计
统计该页面统计各接口的流量情况,可以按天或月以折线图的形式显示出来。
了解本设备在该段时间内的网络流量情况。
浏览页面统计
该页面可以详细清楚地统计并显示每个web页面的访问次数,最后访问时间、浏览器情况,并可以分时间断来进行分析页面访问情况。
2.1.9报表
设备提供详细的基于图文的安全报表(按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等)并可以按事件攻击类型、周期、统计目标进行统计。
支持Html、Word、Pdf格式的输出。
定时去发送攻击报表等功能。
2.1.10智能阻断
该设备可以智能识别外来的攻击行为,根据自定义单位时间内触发安全规则次数的方式,自动阻断攻击源。
阻断的时间及次数均可自行定义。
2.2设备选型及介绍
根据对学校WEB应用安全防护需求的分析,采用WAF产品系列的Web防火墙管理设备,以下是要求的设备基本性能参数:
项目
技术要求
体系结构
1U,采用多核硬件架构
配置≥8个电口,配置2对电口Bypass
性能
单向HTTP吞吐量≥1000Mbps
最大并发会话数≥100万(内置规则全开,防护状态)
HTTP请求速率≥1,0000(内置规则全开,防护状态)
网络延迟≤0.05毫秒(内置规则全开,防护状态)
防护网站不限IP
拦截方式
至少包含4种方式:
拦截、检测、放行、拦截并阻断;
阻断方式下,可设置阻断时间,可手工解除阻断
入侵者记录
能够记录入侵攻击详细数据,至少包含:
序号、攻击时间、拦截原因、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP请求、URL等
防御功能
双向检测功能,能够对流入流出数据进行检测;
具有默认的防护端口,并可指定防护端口;
系统内置防护规则、并支持用户自定义防护规则;
白名单功能:
能够对特定的IP、域名、域名+URL设置白名单;
HTTP请求类型允许与禁止:
可对常用的HTTP请求设置允许或禁止通过
Web攻击防护
SQL注入攻击(包括URL、POST、Cookie等方式的注入):
攻击者通过